Tekst: Leendert van der Ent

Met de opkomst van smart industry en het Industrial Internet of Things neemt de zorg over de veiligheid van digitale systemen in de industrie toe. Wat moeten bedrijven doen om de digitale veiligheid te waarborgen?

Vincent Wagenaar, general manager van industriële automatiseerder HMS Networks Benelux, noemt de digitalisering van de industrie een positieve ontwikkeling, “zolang digitalisering en digitale veiligheid maar hand in hand gaan.” De vraag is of dat voldoende gebeurt. Nederland zit in de kopgroep wat betreft industriële automatisering en digitale infrastructuur, maar scoort tamelijk laag op cyberveiligheid. Dat concludeerde accountants- en advieskantoor PwC in februari 2021. Even googelen levert artikelen op over recente hacks bij tapijtfabrikant Desso, bandenfabriek Apollo Vredestein, farmaceut MSD, Pilz automatisering en Machinefabriek Almi. De gevolgen van die hacks lopen uiteen van kortstondige downtime en systeemfalen tot virussen en malware die diep in het systeem doordringen. Dit kan diefstal van informatie, onvoorspelbaar gedrag, kwaliteitsproblemen en zeer hoge kosten tot gevolg hebben.

Tijdelijk

“Nieuws over dat soort incidenten verhoogt het veiligheidsbesef tijdelijk”, zegt Wagenaar, “maar de aandacht ebt even snel weer weg. In Nederland voelen we ons over het algemeen veilig, security is niet van nature ons eerste aandachtspunt. Gebruikers hebben vooral interesse in bepaalde aspecten van digitalisering, zoals predictive maintenance, en wat dat oplevert. Maar één ding is zeker: als je gehackt wordt, levert dat heel weinig op. Veiligheid is een randvoorwaarde voor mogelijk voordeel. Toch is cyberveiligheid niet systematisch geïntegreerd in het denken en handelen hier.” Zo’n gebrek aan veiligheidsbesef uit zich bijvoorbeeld in de aanschaf van ‘slimme’ schakelaars en thermostaten, die gebruikt worden in de gebouwautomatisering. Wagenaar: “Sommige van die apparaten zijn makkelijk binnen te komen. Dat klinkt onschuldig. Maar bedenk eens wat er gebeurt als een hacker van schakelaar via router en laptop uiteindelijk de fabriek binnenkomt. Een systeem is zo sterk als de zwakste schakel.”

Kwetsbaarheden ­ontstaan door ­oplossingen die niet ­voldoen aan de ­veiligheidseisen
Vincent Wagenaar, general manager HMS Networks Benelux

Doorvragen

Iedereen die bezig is met smart industry moet digitale veiligheid dus serieus nemen. “Bedrijven kunnen niet alles zelf weten, maar ze zouden security wel op kunnen nemen als standaard onderdeel van het ontwerp”, zegt Wagenaar. “Een tweede tip is dat bedrijven in het offertetrajcet goed naar de certificering van de leveranciers vragen, en naar de beveiliging van hard- en software. Rond ISO27001 zit bijvoorbeeld een addertje onder het gras. Die standaard bestaat uit heel veel verschillende bepalen. Zo’n bedrijf hoeft dus niet alles wat binnen ISO27001 benoemd wordt, toe te passen om zichzelf toch ‘ISO27001-gecertificeerd’ te mogen noemen. Het gaat er dus om, dat leveranciers kunnen aantonen, dat ze aan alle cybersecurity-gerelateerde onderdelen van die standaard voldoen.” Klanten moeten dus vragen – en doorvragen, vindt Wagenaar. “Werken de leveranciers zelf ook met toeleveranciers die alleen best practices toepassen? Hoe transparant is de leverancier in zijn security aanpak? Hanteren ze een verdediging in meerdere stappen tegen aanvallen?”

Bewust

Wagenaar wil managers in de industrie niet bang maken, maar wel bewust van digitale veiligheid. Een fabriek koppelen met internet, bijvoorbeeld via IIoT, klinkt kwetsbaar, maar hoeft dat niet te zijn, verzekert hij. “Een firewall alleen is niet voldoende. Maar als je veiligheid serieus neemt, kan het honderd procent veilig. Als specialist in industriële automatisering steken wij voor onze producten de hand in het vuur.”

Beschikbaarheid

Ook belangrijk is dat veiligheid niet ten koste gaat van de productiviteit. “Cybersecurity staat bij HMS Networks centraal, maar wel altijd in combinatie met gebruiksgemak en optimale beschikbaarheid van de systemen”, zegt Wagenaar. “Traditioneel is beschikbaarheid een van de belangrijkste drivers in de operationele technologie, terwijl dat in de informatietechnologie minder prioriteit heeft. Maar waar IT ingezet wordt voor operationele technologie, is beschikbaarheid leidend.” Om ervoor te zorgen dat veiligheid en beschikbaarheid in balans zijn, ontwikkelen HMS Networks en collegabedrijven hun producten conform de industriestandaarden ISO27001 en IEC62443-4-1 voor ‘connected devices’. Bedrijven die deze standaarden volgen, hebben cybersecurity volledig geïntegreerd.

Testen

“Bovendien onderwerpen wij onze producten aan penetratietesten door een cybersecuritybedrijf als NVISO”, legt Wagenaar uit. “We zorgen voor een ‘audit trail’ die alle events logt, zodat je zo nodig kunt reconstrueren wat er is gebeurd en daar maatregelen op kunt nemen. Helaas gaan lang niet alle bedrijven in onze branche zo te werk – en niet al hun klanten weten dat. Kwetsbaarheden ontstaan door oplossingen die niet voldoen aan de actuele veiligheidseisen. Daarom vermijden wij ook open source software-onderdelen, omdat een gepubliceerde kwetsbaarheid razendsnel door hackers kan worden benut, terwijl een oplossing tijd kost.”

Menselijke fout

Uiteindelijk zijn het vaak menselijke fouten, bijvoorbeeld slordig omgaan met inloggegevens, waardoor het in de praktijk fout gaat. “Technologieproducten kunnen menselijke fouten niet voorkomen”, zegt Wagenaar, “maar wel verminderen. Het is daarom bijvoorbeeld belangrijk dat leveranciers altijd met dubbele authenticatie werken; niet één wachtwoord, maar twee wachtwoorden op twee verschillende apparaten die moeten samenkomen om een systeem te kunnen binnenkomen.”

Security on chip

Goede hardware maakt hacken moeilijker, ook als mensen fouten maken. “Onze nieuwste producten hebben ‘security on chip’”, geeft Wagenaar als voorbeeld. “Daarbij zit de embedded software in de hardware vergrendeld. Veiligheid is als het ware ingebakken. Door de veiligheid nog een niveau dieper in te bouwen, wordt het moeilijker om toegang tot wachtwoorden en veiligheidscertificaten te krijgen. Zo neemt de kwetsbaarheid voor menselijke fouten af.” ●

cybersecurityIoTsoftwareautomatisering